O site oficial da ferramenta RVTools, amplamente utilizada para relatórios em ambientes VMware, foi comprometido e passou a distribuir uma versão infectada do instalador com o malware Bumblebee, segundo um pesquisador independente. O malware era carregado por meio de uma biblioteca DLL maliciosa embutida no instalador disponibilizado no site. Ainda não se sabe por quanto tempo essa versão trojanizada ficou disponível nem quantos usuários foram afetados antes da retirada do site do ar.

Em comunicado, a empresa informou que os sites Robware.net e RVTools.com estão temporariamente offline e que são os únicos canais oficiais para download do software. Recomenda-se que os usuários verifiquem o hash do instalador e inspecionem qualquer execução da biblioteca “version.dll” a partir de diretórios de usuários. Paralelamente, foi descoberto que o software fornecido com impressoras da marca Procolored continha dois malwares: o backdoor XRed, escrito em Delphi, e o clipper SnipVex, que substitui endereços de carteira de criptomoedas copiados para a área de transferência pelo endereço do atacante. O youtuber Cameron Coward identificou o comportamento suspeito.

O XRed, ativo desde pelo menos 2019, permite ao atacante coletar dados do sistema, registrar teclas digitadas, propagar-se via USB e executar comandos remotamente. Já o SnipVex infecta arquivos .EXE e usa uma sequência de marcação (0x0A 0x0B 0x0C) para evitar reinfecções. A carteira associada ao golpe recebeu até hoje cerca de 9,3 BTC, equivalentes a aproximadamente US$ 974 mil. A Procolored afirmou que os softwares foram enviados para o serviço Mega via drives USB em outubro de 2024, possivelmente durante esse processo ocorreu a contaminação. Atualmente, apenas os modelos F13 Pro, VF13 Pro e V11 Pro têm downloads disponíveis. Apesar de o servidor C2 do XRed estar offline desde fevereiro de 2024, profissionais de cibersegurança alertam que o SnipVex continua sendo uma ameaça ativa aos sistemas.